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Bescheinigung 



Die Deutsche Telekom AG in Bonn/Deutschland hat eine Patentanmeldung unter 
der Bezeichnung 

"Verfahren zum Etablieren eines gemeinsamen kryptografischen 
Schliisseis fur n Teilnehmer" 

am 9. Oktober 1998 beim Deutschen Patent- und Markenamt eingereicht. 

Die angehefteten Stucke sind eine richtige und genaue Wiedergabe der ursprung- 
lichen Unterlagen dieser Patentanmeldung. 

Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig das Symbol 
H 04 L 9/30 der Internationalen Patentklassifikation erhalten. 
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Verfahren zum Etablieren eines gemeinsamen kryptografischen Schlussels fur n 
Teilnehmer 

5 Das erfindungsgemaBe Verfahren dient der Erzeugung und dem Etablieren eines gemein- 
samen kryptografischen Schlussels fur n Teilnehmer zur Gewahrleistung der Geheimhal- 
tung von Nachrichten, die uber unsichere Kommunikationskanale ausschlieBlich an die 
n Teilnehmer iibertragen werden sollen, 

10 Zum Schutz der Vertraulichkeit und Integritat der Kommunikation zwischen zwei oder 
V^^^ mehr Personen werden die Mechanismen der Verschlusselung und Authentisierung ein- 
gesetzt. Diese erfordern allerdings das Vorhandensein einer gemeinsamen Information 
bei alien Teilnehmem. Diese gemeinsame Information wird als kryptographischer Schlus- 
sel bezeichnet. 

15 

Ein bekanntes Verfahren zum Etablieren eines gemeinsamen Schlussels iiber unsichere 
Kommunikationskanale ist das Verfahren von DifFie und Hellman (DH- Verfahren; ver- 
gleiche W. Diffie und M. Hellman, New Directions in Cryptography, lEEETransactions , 
on Information Theory, IT-22(6): 644-654, November 1976). 
20 Grundlage des DifFie-Hellmann-SchlQsselaustauschs (DH76) ist die Tatsache, daC es 
_ praktisch unmoglich ist, Logarithmen modulo einer grofien Primzahl p zu berechnen. 
^^^^^ Dies machen sich Alice und Bob in dem unten abgebildeten Beispiel zunutze, indem sie 
jeweils eine Zahl x bzw. y kleiner als p (und teilerfremd zu p-1) geheim wahlen. Dann 
senden sie sich (nacheinander oder gleichzeitig) die x-te (bzw. y-te) Potenz einer offent- 
25 lich bekannten Zahl a zu. Aus den empfangenen Potenzen konnen sie durch emeutes 
Potenzieren mit x bzw. y einen gemeinsamen Schlussel K:= berechnen. Ein An- 
greifer, der nur a"^ und sieht, kann daraus K nicht berechnen. (Die einzige heute be- 
kannte Methode dazu bestiinde darin, zunachst den Logarithmus z. B. von a'^zur Basis a 
modulo p zu berechnen und dann a^damit zu potenzieren.) 
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Bildet K: = ( aO'' = a'^ Bildet K: =( ay = a"^ 

Beispiel fiir Diffie-Hellmann-Schlusselaustausch 

Das Problem bei dem im Beispiel beschriebenen DH-Schliisselaustausch besteht darin, 
dafi Alice nicht weiB, ob sie tatsachlich mit Bob oder mit einem Betriiger kommuniziert. 
In EPSec wird dieses Problem durch den Einsatz von Public-Key-Zertifikaten gelost, in 
denen durch eine vertrauenswurdige Instanz die Identitat eines Teilnehmers mit einem 
ofFentlichen Schlussel verknupft wird. Dadurch wird die Identitat eines Gesprachspart- 
ners uberpriifbar. 

Der DH-Schlusselaustausch kann auch mit anderen mathematischen Strukturen realisiert 
werden, z. B. mit endlichen Korpem GF(2") oder elliptischen Kurven. Mit diesen Alter- 
nativen kann man die Performance verbessem. Dieses Verfahren ist allerdings nur zur 
Vereinbarung eines Schlussels zwischen zwei Teilnehmem geeignet. 
Es wurden verschiedene Versuche untemommen, das DH- Verfahren auf drei oder mehr 
Teilnehmer zu erweitem (Gruppen DH). (Einen Uberblick iiber den Stand der Technik ' 
bietet M. Steiner, G. Tsudik, M. Waidner, Diflfie-Hellman Key Distribution Extended to 
Group Communication. Proc. 3"* ACM Conference on Computer and Communications 
Security, Marz 1996, Neu Delhi, Indien.) 

Eine Erweiterung des DH- Verfahren auf drei Teilnehmer A, B und C wird z. B. durch 
nachfolgende Tabelle beschrieben. (Berechnung jeweils mod p): 
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Nach Durchflihrung dieser beiden Runden kann jeder der drei Teilnehmer den geheimen 
Schlussel g"****^ mod p berechnen. 

Bei alien diesen Erweiterungen tritt mindestens eines der drei folgenden Probleme auf: 

- Pio T^iltT^h"^^^ "^Min^n in ^'T^'^r ^^itimmton Art nnd Wr*i Q ^ -g ^ f^nf^^ ^'^in \TrLnhig&n= 
5 Beispiel z. B. als Kreis. 

- Die Teilnehmer haben gegenuber der Zentrale keinen Einflufi auf die Auswahl des 
Schlussels. 

- Die Rundenzahl ist abhangig von ?ier Teilnehmerzahl 

^^10 Ein weiteres Verfahren zum gemeinsamen Etablieren eines Schlussels ist aus DE 195 38 
^^^^B 385.0 bekannt. Bei diesem Verfahren muO die Zentrale allerdings die geheimen Schlussel 
der Teilnehmer kennen. 

Weiterhin ist eine Losung aus Burmester, Desmedt, A secure and efficient conference 
15 key distribution system, Proc. EUROCRYPT' 94, Springer LNCS, Berlin 1994 bekannt, 
bei der zwei Runden zur Generierung des Schlussels benotigt werden, wobei in der 
zweiten Runde durch die Zentrale fiir n Teilnehmer n Nachrichten der Lange 
p = ca. 1000 Bit gesendet werden mussen. ^ 
Bekannt ist auch ein als (n,t)-Threshold- Verfahren bezeichnetes kryptografisches Verfah- 
20 ren. Mit einem (n,t)-Threshold- Verfahren kann man einen Schlussel k so in t Teile, die 
^^^^^ shadows genannt werden, zerlegen, daB dieser Schlussel k aus je n der t shadows rekon- 

^^^P struiert werden kann (vgl. Beutelspacher, Schwenk, Wolfenstetter: Modeme verfahren 
de r Krypto gfapht e (2. Auf l ag c ), Vi c w c g V e rlag, W iesbade n 1998). 

25 Das vorliegende Verfahren soli das Etablieren eines gemeinsamen Gruppenschlussels 

zwischen einer Zentrale und einer Gruppe von n Teilnehmem ermoglichen . Das Verfah- 
ren soli so ausgebildet werden, daB auch nach dem Etablieren des Gruppenschlussels 
ohne groBen Aufvvand Teilnehmer aus dem Schlusselverzeichnis geloscht oder hinzuge- 
fiigt werden konnen. 

30 
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Die Aufgabenstellung wird durch eine Verfahren gelost, bei welchem das Etablieren 
eines Gruppenschliissels mit Hilfe einer Baumstruktur vorgenommen wird. Erfindungs- 
gemaB wird dazu die Anzahl der an der Schlusselvereinbarung beteiligten Teilnehmer n 

n h hin f >'^^rJRniim,rruf_n-RlnttonrLHnr-r.tpiI^ — 

5 mehr Darstellungen dieser Art. Die Anzahl der Blatter ist dabei mit der Anzahl der in das 
Verfahren einbezogenen Teilnehmer identisch. Das bedeutet, daB einer Anzahl von n 
Teiinehmem eine Anzahl von n Blatter eines binaren Baumes mit der Tiefe riog2nl zuge- 
ordnet ist 

10 Fig. 1 zeigt das Wirkprinzip des erfindungsgemaBen Verfahrens anhand der Baumstruk- 
^^^^^ tur einer Schlusselvereinbarung fiir drei Teilnehmer A, B, C 

Um einen gemeinsamen Schlussel zu etablieren, gehen die Teilnehmer A, B und C wie 
folgt vor: 

- Teilnehmer A und B fiihren ein DH- Verfahren mit nach dem Zufallsprinzip generier- 
15 ten Zahlen a und b durch. Sie erhalten den gemeinsamen Schlussel kl=g*'* mod p, der 

dem gemeinsamen Knoten Kl zugeordnet wird. 

- Teilnehmer A und B auf der einen und Teilnehmer C auf der anderen Seite fiihren ein 
zweites DH- Verfahren durch, welches auf dem gemeinsamen Schlussel kl der Teil- ' 
nehmer A und B und auf einer nach dem Zufallsprinzip generierten Zahl c des Teil- 

20 nehmers C beruht. Das Ergebnis ist der gemeinsame Schlussel k^g^"*" mod p, der der 
Wurzel des Baumes Kw zugeordnet wird. 

-Das-er findu ngsgernafie-Verfehrerrwrrd-anhand-von-A^ — - 
tert. 

25 In Fig. 2 ist die Baumstruktur fiir eine Schlusselvereinbarung fiir vier Teilnehmer A, B, C 
und D dargestellt. 

Fig 3 zeigt die Baumstruktur einer Schlusselvereinbarung fiir 5 Teilnehmer A, B, C, D 
und E. 

Fig. 4 zeigt, ausgehend von einer bereits bestehenden Baumstruktur nach Fig.2, ein Bei- 
30 spiel fiir die Erweiterung der Baumstruktur um einen Teilnehmer. 
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Fig. 5 zeigt, ausgehend von einer bereits bestehenden Baumstruktur nach Fig. 2, das 
Entfemen/Loschen eines Teilnehmers aus der Baumstruktur. 

5 Teilnehmer A, B, C und D beschrieben: 

Um einen gemeinsamen Schlussel flir vier Teilnehmer (Fig.2) zu etablieren, gehen Teil- 
nehmer A, B, C und D wie folgt vor: 

- Teilnehmer A und B flihren ein DH-Verfahren mit nach dem Zufallsprinzip generier- 
ten Zahlen a und b durch. Sie erhalten den gemeinsamen Schlussel kl^g*** mod p. 

_ JO - Teilnehmer C und D flihren ein DH-Verfahren mit zufallig gewahlten Zahlen c und d 
^^^^^ durch. Sie erhalten den gemeinsamen Schlussel k2=g'''^ mod p. 

- Teilnehmer A und B auf der einen und Teilnehmer C und D auf der anderen Seite flih- 
ren gemeinsam ein zweites DH-Verfahren durch, in welches von Teilnehmer A und B 
der Schlussel kl und von Teilnehmer C und D der Schlussel k2 einbezogen werden. 

15 Das Ergebnis ist der gemeinsame Schlussel kw=g^^**^ mod p, welcher der Wurzel des 
Baumes Kw zugeordnet ist. 



• • • • 
• • • • 



Nachfolgend wird anhand von Figur 3 ein Beispiel einer Schlusselvereinbarung flir ftxnf \ 
Teilnehmer A, B, C, D, und E beschrieben: 
20 Um einen gemeinsamen Schlussel zu etablieren, gehen die Teilnehmer A, B, C, D und E 
^k^^^ wie folgt vor: 

^^^m - Teilnehmer A und B flihren ein DH-Verfahren mit zufallig gewahlten Zahlen a und b 
du r ch. Si c e rhal te n d e n g emeinsa men Schlu s s e l kl - g^*' mod p. 

- Teilnehmer C und D fuhren ein DH-Verfahren mit zufallig gewahlten Zahlen c und d 
25 durch. Sie erhalten den gemeinsamen Schlussel k2=g'''* mod p. 

- Teilnehmer A und B auf der einen Seite und Teilnehmer C und D auf der anderen 
Seite fuhren gemeinsam ein zweites DH-Verfahren durch, in welches von Teilnehmer 
A und B der gemeinsame Schlussel kl und von Teilnehmer C und D der gemeinsame 
Schlussel k2 einbezogen werden.. Das Ergebnis ist ein gemeinsamer Schlussel 

30 k3=g*'^'*^ mod p flir die Teilnehmer A, B, C und D. 
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- Die Teilnehmer A, B, C und D auf der einen Seite und der Teilnehmer E auf der an- 
deren Seite flihren ein drittes DH-Verfahren durch, in welches der gemeinsame 
Schlussel lc3 der Teilnehmer A, B, C und D und eine fur den Teilnehmer E gene- 
ripr tp 7iiFall<!7Tihl e einbezogenja^erdenJ)as Frgehnis ist der gprnpinsn m** S^hlvss^^ 
5 kw^g*^^ mod p, der der Wurzel des Baumes Kwzugeordnet ist. 

Aufgrund der Struktur des erfmdungsgemaBen Verfahrens ist es moglich, neue Teilneh- 
mer mit einzubeziehen bzw. einzelne Teilnehmer auszuschlieBen, ohne das ganze Verfah- 
ren fur jeden Teilnehmer noch einmal durchflihren zu mussen. 

10 

^^^^^ Das Einfligen eines neuen Teilnehmers wird anhand einer Baumstruktur mit vier Teil- 
nehmem nach Fig. 4 naher erlautert: Ausgangssituation ist dabei eine Baumstruktur 
entsprechend Fig. 2 in welche eine neuer Teilnehmer bei Blatt B eingeftigt werden soil. 
Bei Hinzunahme eines neuen Teilnehmers in eine bereits bestehende Baumstruktur, die 
15 uber ein gemeinsames Geheimnis verfugt, werden zum Etablieren eines neuen gemeinsa- 
men Schlussels fur n+1 Teilnehmer an einer geeigneten Stelle des binaren Baumes (Blatt 
B vorgegeben) zwei neue Blatter Bl und B2 angefiigt. Der neue Baum besitzt dann n+1 
Blatter und die Tiefe riog2(a+l)1. Der bisher dem Blatt B zugeordnete Teilnehmer wird » 
einem der neue Blatter Bl zugeordnet. Der neue Teilnehmer wird dem anderen noch 
20 freien Blatt B2 zugeordnet. Das bisherige Blatt B wird zu einem Knoten Kl fiir die 
Blatter B 1 und B2. Ausgehend von den neuen Blattem B 1 und B2 werden bis hin zur 

^^^^B Wurzel des Baumes nur in den Knoten K neue Geheimnisse etabliert, die im Rahmen der 

— ^Baumstxuktut^auf-denuWeg-von-den-neuen-Blatter^ 

Kw liegen. Das sind im konkreten Fall die Knoten Kl, K2 und Kw. 

25 

1st die Anzahl der Teilnehmer eine Zweierpotenz, so erhoht sich die Tiefe des Baumes 
durch diesen Vorgang um 1 (vgL vorhergehendes Beispiel). Ist die Anzahl der Teilneh- 
mer keine Zweierpotenz, so kann durch geschickte Wahl des aufzuteilenden Blattes eine 
VergroBerung der Tiefe vermieden werden, wie das folgende Beispiel zeigt: 

30 
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*Um beispielsweise einen vierten Teilnehmer zu drei Teilnehmem hinzuzufugen, geht man 
(ausgehend von der Situation nach Fig. 1) wie folgt vor: 

- Teilnehmer C fiihrt mit dem neu hinzugekommenen Teilnehmer D ein DH-Verfahren 
mit Ti iFallig gene rierten Zahlen c un d d durch (c sollte sich von dem vorher gewahl- 

5 ten c unterscheiden, dies muB aber nicht der Fall sein). Das Ergebnis ist 
lc2'=g*='^modp. 

- Teilnehmer A und Teilnehmer B auf der einen und Teilnehmer C und D auf der ande- 
ren Seite fuhren ein DH-Verfahren mit den Werten kl und k2 durch. Das Ergebnis ist 
k=g^'-*^' mod p, 

10 Bei einer derartigen Konfiguration mussen die Teilnehmer A und B keinen neuen Schlus- 
^^^^^ seltausch durchftihren. Generell mussen nur die Geheimnisse neu vereinbart werden, die 
im zugehorigen Baum auf dem Weg vom Blatt des neuen Teilnehmers zur Wurzel Kw 
liegen. 

Das AusschlieBen bzw. Loschen eines Teilnehmers wird anhand einer Baumstruktur mit 
15 vier Teilnehmem anhand von Figur 5 naher erlautert: Ausgangssituation ist dabei eine 
Baumstruktur entsprechend Fig. 2, aus der Teilnehmer B entfemt werden soli. 
Beim AusschlieBen bzw. beim Loschen eines Teilnehmers B aus einer bereits bestehen- 
den Baumstruktur, die uber ein gemeinsames Geheimnis verfiigt, werden wie in Fig. 5 r 
ausgefiihrt, sowohl das Blatt des zu entfemenden Teilnehmers B als auch das Blatt des 
20 dem gleichen gemeinsamen Knoten Kl zugeordneten Teilnehmers A entfemt. Der ge- 
meinsame Knoten Kl wird zum neuen Blatt A' des in der Baumstmktur verbleibenden 
^^^^P Teilnehmers A. Ausgehend von den Blattem des Baumes bis zur Wurzel Kw werden nur 

— in-den Knoten K neue Geheimnis.se etahlie rt^ die vom ne^uM Rl att A ^ im Rahmen der 

Baumstruktur in Richtung Wurzel Kw unmittelbar tangiert werden. Das ist im konkreten 
25 Fall nur der Wurzelknoten Kw. Bei einer derartigen Konfiguration mussen die Teilneh- 
mer C und p keinen neuen Schlusseltausch durchfuhren. Generell mussen auch hier nur 
die Geheimnisse neu vereinbart werden, die im zugehorigen Baum auf dem Weg vom 
Blatt des Partners des entfemten Teilnehmers zur Wurzel liegen. 

30 Das Verfahren kann in vielfacher Hinsicht zweckmaBig weiter ausgestaltet werden: 
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*Fur die Bildung der diskxeten Exponentialflinktion x — ^ g'^ bietet sich beispielsweise die 
Verwendung anderer Gaippen an. 

Beim Hinzufligen oder Entfemen eines Teilnehmers kann beispielsweise vereinbart wer- 
den. daB fur die notwendigen neuen Durchfuhrungen des DH-Verfahrens nicht die alten 
5 Geheimnisse, sondem das Ergebnis einer (evtl. randomisierten ) Einwegfunktion ver- 
wendet wird. 



10 
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Verfahren zum Etablieren eines gemeinsamen kryptografischen Schlussels fur n 
Teilnehmer 

(3) Patentanspruche: - 

1. Verfahren zum Etablieren eInes gemeinsamen kryptografischen Schlussels fiir n 
Teilnehmer unter Anwendung des DH-Verfahrens, 

dadurch gekennzeichnet, 

-dal3 jedem der n Teilnehmer (I) jeweils ein Blatt eines binar strukturierten Baumes, 
der genau n Blatter und die Tiefe riog2n1 besitzt, zugeordnet wird , 
-daB fur jeden Teilnehmer (I) ein Geheimnis (i) generiert und dem Blatt des Baumes 
zugeordnet wird, dem auch der jeweilige Teilnehmer (I) zugeordnet ist, 
-daB nacheinander in Richtung der Baumwurzel fiir alle Knoten (K) des Baumes 
Geheimnisse etabliert werden, wobei ausgehend von den Blattem entsprechend der 
festgelegten Baumstruktur liber die gesamte Hierarchie der Baumstruktur immer 
zwei bereits bekannte Geheimnisse uber das DH- Verfahren zu einem neuen ge- 
meinsamen Geheimnis zusammengefaBt und einem gemeinsamen Knoten (K) zu 
geordnet werden, so da(3 der letzte Knoten Kw und damit die Baumwurzel, als 
Geheimnis den gemeinsamen Schlussel aller n Teilnehmer enthalt. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 

-daB bei Aufnahme eines neuen Teilnehmers in eine bestehende Baumstruktur, die 
bereits iiber ein gemeinsames Geheimnis verfligt, zum Etabliere n eines gemeinsa- 
men Schlussel fiir n+l Teilnehmer an geeigneter Stelle des binaren Baumes einem 
Blatt (B) als Nachfolger zwei neue Blatter (Bl und B2) angefiigt werden, so daB 
der neue Baum genau n+l Blatter und die Tiefe riog2(n+l)1 besitzt, 

-daB der dem bisherigen Blatt (B) zugeordnete Teilnehmer und der neue Teilnehmer 
jeweils einem der neuen Blatter (Bl; B2) zugeordnet werden, wobei das bisherige 
Blatt B zu einem gemeinsamen Knoten fiir die neuen Blatter (B1;B2) wird, 

-daB ausgehend von den neuen Blattern (B 1;B2) bis zur Wurzel des Baumes nur in 
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den Knoten neue Geheimnisse etabliert werden, die im Rahmen der Baumstruktur 
auf dem Weg von den Blattem B 1 und B2 zur Baumwurzel liegen. 




3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 

-daB bei AusschlieOung eines Teilnehmers (B) aus einer bereits bestehenden Baum- 
stmktur die bereits uber ein Geheimnis verfugt, sowohl das Blatt des zu entfemen 
den Teilnehmers (B), als auch daB Blatt des dem gleichen gemeinsamen Knoten 
10 zugeordneten Teilnehmers (A) entfemt werden, 

-daC der gemeinsame Knoten zum Blatt des nicht zu entfemende Teilnehmers A 
wird, und daB ausgehend von den Blattem des Baumes bis zur Wurzel nur in den 
Knoten neue Geheimnisse ertabliert werden, die im Rahmen 
der Baumstruktur auf dem Weg vom neuen Blatt (A)zur Baumwurzel liegen. 

15 



20 



25 
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1, Verfahren zum Etablieren eines gemeinsamen kryptografischen Schliissels fiir 
n Teilnehmer 



2, Zusammenfassung 

Das Verfahren soli so ausgebildet werden, daJ3 auch nach dem Etablieren des Grup- 
penschlussels ohne groBen Aufwand Teilnehmer aus dem Schlusselverzeichnis ge- 
loscht Oder hinzugefiigt werden konnen. 

2.2, Erfindungsgemafi wird jedem der n Teilnehmer (I) jeweils ein Blatt eines binar 
strukturierten Baumes, der genau n Blatter und die Tiefe riog2n1 besitzt, zugeord- 
net. Fiir jeden Teilnehmer (I) ein Geheimnis (i) generiert und dem Blatt des Baumes 
zugeordnet wird, dem auch der jeweilige Teilnehmer (I) zugeordnet ist. Nacheinan- 
der werden in Richtung der Baumwurzel fiir alle Knoten (K) des Baumes Geheim- 
nisse etabliert, wobei immer zwei bereits bekannte Geheimnisse liber das DH- 
Verfahren zu einem neuen gemeinsamen Geheimnis zusammengefaBt werden. 

Der letzte Knoten Kw enthalt den gemeinsamen Schliissel aller n Teilnehmer. 

2.3. Das erfindungsgemaBe Verfahren laBt sich vorteilhaft zur Erzeugung eines krypto- 
grafischen Schlussels fur eine Gruppe von Teilnehmem einsetzen, deren Teilneh- 
merzahl Anderungen unterworfen ist. 



3.0. Fig. 1 
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A,B,C,D;l^=gk1-k2 






Fig. 5 
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